季卫东:数据权利保护的方向及前沿实践
个人数据的价值和风险以及区块链的金融革命
物联网随时产生着大数据。利用人工智能不断地对大数据进行分析,一方面能创造崭新的经济价值,另一方面也会威胁个人信息安全和隐私。正因为经济价值的显露,从2011年初开始,个人数据被视为“网络空间的新型石油,数字世界的新型通货(World Economic Forum, Personal Data: The Emergence of a New Asset Class, Feb.17, 2011)”。不言而喻,这句标语也意味着只有在流通、互联以及交易中,数据才能产生价值。然而,正因为个人信息安全和隐私在数字经济发展过程中易受威胁,从2016年前后起,各国都纷纷制定规范,开始加强对数据和人工智能的治理。特别是欧盟《通用数据条例》把个人数据保护视为基本人权,为信息安全和隐私保护构建起坚固的制度堡垒,并在2017年提案的《非个人数据自由流动条例》中进一步明确了严格限制个人数据交易的方针。
个人数据的交易与封装、回报与风险的这种紧张关系,在金融领域里表现得尤其彰明较著——银行账号、信用卡号、个人资产数据、购买履历、中小企业的结算数据、大公司的收益数据都是最有经济价值的,也最需要保密。根据日本总务省在2020年公布的《关于数据流通环境等的消费者意识调查研究》的统计,日、中、美、德四国公民感到不安的第一因素都是银行账号和信用卡号的泄露。尤其在网上银行、移动支付普及的当下,在线金融犯罪风险似乎也在按照摩尔定律不断倍增,甚至还出现了“数据绑架犯”的案例。在互联网上进行交易特别需要相互信任,但数据空间的架构本身却不足以提供这种信赖通信协议,所以不得不反复寻找某个可靠的中介者,例如政府机关,或者大企业,或者中介平台。
2008年,在全球金融危机暴发之际,号称中本聪的神秘人物(或集体)发表了题为《比特币:一种点对点式的电子通货系统》的论文,设计出一种无需寻找可信赖的中介者,仅通过按照规则进行的分散式计算就可以保证数据真实性和安全性的机制。这就是区块链,构成一种去中心化的、高度安全的互信网络。这也是全球化的P2P记账系统,基于参加者平等而直接缔结可信赖的通信协议。由于区块链技术可以充分利用物联网的便利却同时使隐私得以黑箱化,这就可以大幅度减少那些基于隐私而进行的外部控制,从而保障个人的自由和数据权利。在这层意义上可以说,加密货币的区块链势必通过交易认证、价值转移、财富保存、信用借贷、资产交换、融资理财、风险管理、会计账簿等服务方式的革新引起金融界的地壳变动,并对人工智能系统形成一定程度的制衡。
从2015年起,各国金融界一改过去的观望、怀疑态度,开始认真对待比特币和区块链,几十家国际大银行也开始在金融范式创新方面进行投资并制定相关规则。然而相关的发展过程却还是充满了起伏变化。2016年6月17日,德国区块链公司Slock.it发起的以太币众筹项目The Dao的数字化验证令牌被黑客攻击和劫持,成为一件轰动性新闻。作为当时最大的去中心化自治金融社区,The Dao参与者超过11000人,筹措到的价值超过1.5亿美元,但眼馋的黑客却利用代码的递归调用漏洞,一举盗走了占筹集总数三分之一的加密通货以太币,导致以太坊价格暴跌。值得重视的是,这个事件不仅提示了智能合约的安全性隐患,最后还不得不通过硬分叉的所谓“罗宾汉行动”,即非法的技术手段来解决问题。鉴于这个事件的教训,美国证券交易委员会(SEC)在2017年7月25日宣布数字化验证令牌相当于证券,其募集和交易都必须经过SEC登记。这也就断定了应用区块链技术进行的自动化融资也要适用投资合同的Howey检验标准以及证券法条款。中国人民银行等金融当局则在2017年9月4日发表了禁止发行和贩卖在区块链上记录的数字化验证令牌以及进行融资的ICO(Initial Coin Offering)公告。
事实上,区块链技术不仅推动金融体制改革,也被用于数据交易市场的构建。例如美国物联网数据领域的独角兽企业DataBroker Dao打造了全球第一家通过智能合约方式来购买和销售传感器数据的分布式流通平台,同时也提供了让本来利用效率很低的数据也产生经济价值、增加价值链条以及促使利益分配合理化的“区块链数据交易所”模式。在这里,购买方通过一定数量的代币DTX获得数据,其中传感器数据提供方获取80%、作为网关管理者的电信公司获取10%、DataBroker Dao获取10%。正如塔普斯科特父子在《区块链革命》这本书中说的那样,正是区块链技术给物品赋予生命,使物联网能够进行沟通和行动,进而通过机遇的再分配实现互惠共赢的目标。但是,The Dao事件也提示了区块链技术的风险和应用边界。对于信息孤岛之外的那些具有显著经济价值和流通效率的数据,需要中介者的、非区块链方式的“数据交易所”或者数据经纪人(Data Broker)则构成了更具普遍意义的美国模式——由市场本身决定数据交易的方式和价格,由经纪人提供不同类型的中介服务,而独立的司法机构负责保障秩序和公正。在这种模式下,数据交易的门槛较低、商业化平台运用网络爬虫程序和众包等途径收集数据自由出售、数据控制者和使用者直接进行交易、缺乏第三方的及时监管,所以难免诱发各种各样的违法违纪现象。
为了防止个人数据交易的流弊和混乱,矫正数据控制者与作为数据主体的个人之间力量对比关系的不平衡,英国根据固有的信托法传统以及爱德华兹关于数据增值“隐私税”的创见,提出了“数据信托”的设计构想,并进行了由第三方机构独立提供数据信托服务的若干个实验。不久前,《麻省理工科技评论》还把数据信托列为2021年十大突破性技术之一。北航法学院副教授翟志勇认为,这个方案通过给数据控制者强加信托义务或者引进独立第三方作为信托人,形成一个数据管理的法律结构,有利于解决数据交易中的“信任赤字”问题,能够更好地维护数据主体的隐私、信息安全以及相关的利益。数据信托是根据数据主体的委托而设立的,因此与政府自上而下的监管不同,是自下而上生成的生态系统,并存在多样化的方案由个人自由选择。为了确保这种选择的自由,必须使每个主体的个人数据以便携的方式存在,并且可以从特定的系统中撤回或删除。数据信托的对象其实不是数据本身,而是数据的权利,因此首先要确认数据权利(但可以悬置所有权问题),并形成对数据权利进行管理的机制。
特别值得重视的还有日本的官民协调式“信息银行”的方案及其实验结果。“信息银行”固然只是一个隐喻,表明类似银行存款信贷那样的数据储蓄和理财的方式;但是,银行也的确可以参与数据管理和交易的业务,并且很容易利用既有的营业网点开设个人数据购销店(Personal Data Store,简称PDS),至少能在一定条件下把经济价值非常高的金融数据也作为业务对象。根据日本总务大臣官房综合政策科调查员白井斗京和高根孝次在《金融》杂志2021年第2期发表的文章,信息银行被定义为基于与个人的合同而进行个人数据管理、根据个人指示或预定条件把数据提供给第三方的经营机构。显然,日本试图建立一种以个人为起点的数据流通体系,由数据主体自身而不是企业来决定个人数据的利用。在某种意义上,信息银行也可以理解为纵横交错的数据网络里的集线器或者多端口转发器。信息银行的营业是无需审批的,但却存在任意性的资质认定环节,其判断标准是日本总务省《关于数据信托功能认定的指针》(2018年2月颁发第一版、2019年10月颁发第二版),包括经营适格性的审核、关于信息安全的原则和详细标准的审核、治理体制机制的审核以及经营内容的审核等内容。
信息银行的基本设想是柴崎亮介教授在2012年提出的,两年后开始进行相关实验。信息银行的基本架构被描述如下:数据主体需要到信息银行的服务窗口缔结个人数据存储的承诺合同,当然也可以采取智能合约方式。作为提供数据的对价,信息银行则向个人支付一定的数字货币(包括企业通货、地区通货以及积分等不同形式)、现金、折扣券、有价值的服务信息以及信用评分。例如,个人如果把自己的所有健康诊断数据存入信息银行,那就有权获得健康咨询的免费服务,假设某些基本信息被泄露,还可以获得一定金额的赔偿。信息银行在对数据进行匿名化处理之后再提供给希望对数据进行盈利性应用的企业,并从企业获得相应的回报基金。不同信息银行之间也可以开展业务合作,而监察机关则对所有信息银行的数据保存、销售、中介服务等业务活动进行过程管理。在技术方面,信息银行的设计原则有如下三条:分散化安全保障(使黑客在侵入系统窃取信息时无法掌握全貌),储存信息的可视化和指标化(以便存户充分了解个人数据管理状态),数据分析云服务功能(不向数据利用者提供原始数据,只是根据对方需求对数据进行分析后提供结果)。
从2017年开始,日本政府积极推动信息银行的筹建,并着手整备相关制度条件。到2019年,首先是信息通信业的新兴企业DataSign、NIPPON Platform、电子市场相关的MyData智能(电通集团伞下企业)、化学制造业的富士胶片等四家公司正式开办信息银行,紧接着包括四大银行在内的十五家企业宣布跟进,其中三菱UFJ信托银行和NTT数据在当年内就实际设立了。仅就个人提供诊断数据与健康咨询服务进行交换的业务的不完全统计显示,每年可以产生出208亿日元以上的市场价值。根据山口真一等人的调研报告(载于2020年11月发行的总务省学术杂志《情报通信政策研究》第4卷第1号)以及总务省报道资料《“信息银行”认定的决定》(2021年3月29日),迄今为止已经有七家信息银行获得认定并开始提供包括数据理财、金融风险评估、个人信用评分等在内的各种不同类型的服务,其中信用评分可以理解为把个人数据集中到信息银行的搜索引擎。然而如何设计数据合作所必须的标准和框架、搭建重点领域的交易平台以及用人工智能驱动数据利用,仍是今后有待进一步探讨的课题。
根据TRIMPS网络安全法律研究中心《全球数据交易实践、行业规范现状与政策法律问题研究》(2021年)的综述,自从2015年国务院发布关于促进大数据发展行动纲要的通知以来,引导培育大数据交易市场、开展面向应用的数据交易实验的活动在各地展开,已经成立了十余家数据交易平台,大致可以分为三种如下类型:即政府主导的大数据交易所(例如贵阳大数据交易所)、联营性质的数据交易中介平台(例如中关村大数据产业联盟)以及商业类的数据经纪机构(例如数据堂)。2020年4月9日,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》正式颁发,首次把数据与其他四大生产要素并列,明确了加快培育数据要素市场的目标,并且提出了根据数据的特性厘清相应的产权关系、建立和健全数据产权交易和行业自律机制的重要课题,民法典人格权编以及《数据安全法》(2021年6月10日通过)、《个人信息保护法》(2021年8月20日通过)则为数据市场的进一步健康发展提供了良好的法律基础。正是在这样的背景下,学界和社会开始关注数据交易市场的现实问题,研究数据信托制度的结构和功能。
微信公众号
微博